鄭丁灝

（廈門(mén)大學(xué) 法學(xué)院，福建 廈門(mén) 361005）

0 引 言

近年來(lái)，網(wǎng)絡(luò)安全治理議題已成為全球各主權(quán)國(guó)家制定戰(zhàn)略政策的焦點(diǎn)與學(xué)術(shù)理論研究的高頻點(diǎn)，而伴隨全球網(wǎng)絡(luò)黑客攻擊的不斷增多，網(wǎng)絡(luò)安全漏洞亦開(kāi)始進(jìn)入全球治理和國(guó)家治理的視線內(nèi)。從全球治理視角，網(wǎng)絡(luò)安全漏洞事關(guān)各國(guó)之間的協(xié)調(diào)與合作，以之建構(gòu)對(duì)等互助的國(guó)際網(wǎng)絡(luò)秩序；從國(guó)家治理視角，其不單關(guān)涉網(wǎng)絡(luò)安全部門(mén)，同時(shí)漏洞的全流程治理也涉及各政府部門(mén)及其與社會(huì)民眾之間的相互配合。目前，我國(guó)雖已初步建立起以《中華人民共和國(guó)刑法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》為主要法律規(guī)范，以《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見(jiàn)稿）》《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法》等為配套規(guī)定的整體制度框架，但縱觀各制度規(guī)范，其對(duì)網(wǎng)絡(luò)安全漏洞的規(guī)制條款卻缺乏對(duì)漏洞治理環(huán)境、漏洞整體流程與社會(huì)主體責(zé)任等因素的細(xì)致考量，導(dǎo)致在治理實(shí)踐中尚存諸多困境亟需解決。本文即以此為主題，分析上述“命令控制型”治理模式的弊端，并引入合作主義范式，以期對(duì)我國(guó)網(wǎng)絡(luò)安全漏洞治理提出完善建議。

1 傳統(tǒng)網(wǎng)絡(luò)安全漏洞治理的“漏洞”

當(dāng)前，傳統(tǒng)由政府掌握主導(dǎo)權(quán)的治理機(jī)制在網(wǎng)絡(luò)安全漏洞肆意擴(kuò)張的背景下日漸式微。由此需反思，網(wǎng)絡(luò)安全漏洞治理自身的“漏洞”何在？

1.1 標(biāo)準(zhǔn)漏洞：評(píng)級(jí)指標(biāo)缺乏參與性

漏洞評(píng)級(jí)串聯(lián)漏洞的發(fā)現(xiàn)與披露周期，其關(guān)鍵性不言而喻。2021年6月最新實(shí)施的GB/T 30279—2020《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類(lèi)分級(jí)指南》將漏洞評(píng)級(jí)指標(biāo)劃分為“被利用性”“影響程度”以及“環(huán)境因素”，主要關(guān)注網(wǎng)絡(luò)安全漏洞對(duì)目標(biāo)對(duì)象所造成損害的嚴(yán)重程度。在上述指標(biāo)的考量因素中，諸多數(shù)據(jù)需采集于網(wǎng)絡(luò)公眾用戶(hù)以及其他網(wǎng)絡(luò)主體，例如“被利用性”指標(biāo)下的“交互條件”“環(huán)境因素”指標(biāo)下的“影響范圍”等。然而，在既有網(wǎng)絡(luò)安全漏洞治理規(guī)范中，卻未見(jiàn)網(wǎng)絡(luò)公眾用戶(hù)或其他網(wǎng)絡(luò)主體參與前述信息采集的具體配套細(xì)則，故上述二者應(yīng)如何提供與網(wǎng)絡(luò)安全漏洞有關(guān)的信息，并確保信息的真實(shí)、有效、客觀，尚處空白地帶。同時(shí)，在當(dāng)前網(wǎng)絡(luò)安全環(huán)境復(fù)雜，各層級(jí)網(wǎng)絡(luò)主體擁有不同網(wǎng)絡(luò)安全需求的背景下，上述評(píng)級(jí)指標(biāo)在缺乏網(wǎng)絡(luò)公眾用戶(hù)以及其他網(wǎng)絡(luò)系統(tǒng)主體有序參與的情況下，是否能夠?qū)W(wǎng)絡(luò)安全漏洞作出準(zhǔn)確、實(shí)時(shí)的評(píng)級(jí)，也值得深思。

1.2 激勵(lì)漏洞：管理規(guī)范削弱積極性

2019年發(fā)布的《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見(jiàn)稿）》旨在規(guī)范網(wǎng)絡(luò)安全漏洞的檢測(cè)、評(píng)估等行為。其雖明確中央各部委及行業(yè)主管部門(mén)在漏洞管理中的主導(dǎo)地位，但卻限制了第三方組織或個(gè)人對(duì)網(wǎng)絡(luò)安全漏洞的挖掘與披露。例如，該規(guī)定第6條指出“第三方組織或個(gè)人通過(guò)網(wǎng)站、媒體、會(huì)議等方式向社會(huì)發(fā)布漏洞信息，應(yīng)當(dāng)……遵守以下規(guī)定：……（三）不得發(fā)布和提供專(zhuān)門(mén)用于利用網(wǎng)絡(luò)產(chǎn)品、服務(wù)、系統(tǒng)漏洞從事危害網(wǎng)絡(luò)安全活動(dòng)的方法、程序和工具；……”此規(guī)定不僅使網(wǎng)絡(luò)安全愛(ài)好者的專(zhuān)業(yè)技術(shù)討論陷入“人人自?！钡木车?，削弱其共享信息的積極性，并極有可能鏈接《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第62條，使信息披露主體遭受行政處罰。正如某網(wǎng)絡(luò)安全人士表示，限制漏洞利用代碼及相關(guān)技術(shù)文章的分享，將限制漏洞研究和安全社區(qū)的發(fā)展，并可能將網(wǎng)絡(luò)安全漏洞信息轉(zhuǎn)向地下黑產(chǎn)圈，使黑產(chǎn)圈的信息交換更為活躍。此外，上述規(guī)定第7條明確指出第三方組織應(yīng)當(dāng)加強(qiáng)內(nèi)部管理，但其語(yǔ)句的概括性使之缺乏可操作的規(guī)程，而其中的“必要措施”表述則更令第三方組織者惘然無(wú)措。

1.3 責(zé)任漏洞：“白帽子責(zé)任”存在模糊性

“白帽子”特指通過(guò)技術(shù)手段侵入系統(tǒng)獲取數(shù)據(jù)的方式檢測(cè)查找安全漏洞并加以合法披露的善意第三人[1]。在我國(guó)法律體系下，“白帽子”的法律責(zé)任卻存在高度模糊性，其所實(shí)施的漏洞挖掘及披露行為長(zhǎng)期處于罪與非罪的夾縫之中。首先，在主體身份層面，“白帽子”往往是未經(jīng)專(zhuān)業(yè)認(rèn)證的網(wǎng)絡(luò)安全人員，其在身份上并未與網(wǎng)絡(luò)黑客有所區(qū)別，并且其多為社會(huì)主體，帶有極強(qiáng)的非官方性質(zhì)，故其在主體身份上即無(wú)法獲得法律責(zé)任上的豁免。其次，在行為層面，由于“白帽子”檢測(cè)或挖掘漏洞需采用特定的網(wǎng)絡(luò)檢測(cè)手段。雖然該手段對(duì)于“白帽子”自身而言，系以獲取網(wǎng)絡(luò)安全漏洞為目標(biāo)，但從網(wǎng)絡(luò)安全管理者或司法機(jī)關(guān)的視角，在未檢測(cè)出網(wǎng)絡(luò)安全漏洞之前，前述準(zhǔn)備工作在實(shí)質(zhì)上與《中華人民共和國(guó)刑法》第285、286條的破壞計(jì)算機(jī)信息系統(tǒng)行為并無(wú)差異。更何況在某些情況下，“白帽子”所使用的軟件內(nèi)含自動(dòng)緩存功能，雖然其無(wú)意在檢測(cè)過(guò)程中獲取數(shù)據(jù)，但該軟件卻可能自動(dòng)緩存數(shù)據(jù)，造成信息泄露[2]。故實(shí)踐中“白帽子”的行為確實(shí)存在觸犯破壞計(jì)算機(jī)信息系統(tǒng)罪的可能。最后，在規(guī)范層面，依據(jù)上述刑法條文，其難以在客觀層面區(qū)分“白帽子”和不法黑客，僅能從主觀層面進(jìn)行考量[3]。但司法實(shí)踐中對(duì)技術(shù)的“惡意利用”判斷又存在較為寬泛的自由裁量權(quán)，其需遵守《中華人民共和國(guó)刑法》第285條第1款的“嚴(yán)格保護(hù)”立場(chǎng)或是第2款的“非法控制”立場(chǎng)至今未有準(zhǔn)確答案，導(dǎo)致司法實(shí)踐再次轉(zhuǎn)向?qū)陀^行為的認(rèn)定，單純依賴(lài)情節(jié)與后果定罪。2016年的袁煒案即為上述判定標(biāo)準(zhǔn)缺失的典型判例。

2 合作主義治理與網(wǎng)絡(luò)安全漏洞規(guī)制

如上所述，網(wǎng)絡(luò)安全漏洞治理規(guī)范帶有傳統(tǒng)的管制型色彩，未能充分考量網(wǎng)絡(luò)社會(huì)的積極因素，致使其忽略社會(huì)公眾的治理力量。對(duì)此，引入合作主義模式以發(fā)揮治理合力，應(yīng)有助于完善網(wǎng)絡(luò)安全漏洞的防治體系。

2.1 以合作主義為核心的新治理范式

理論上，“合作主義”強(qiáng)調(diào)多元主體的合作與參與，以包容性更強(qiáng)的合作方式，促進(jìn)各主體之間的資源分享與利益協(xié)調(diào)，以完成行政任務(wù)[4]。不同于以往由政府主導(dǎo)的“命令控制型”治理模式，合作主義治理旨在形成由政府、市場(chǎng)（社會(huì)組織）、企業(yè)協(xié)同的三方制衡關(guān)系，在保持宏觀治理環(huán)境整體穩(wěn)定的背景下解決變動(dòng)性強(qiáng)、復(fù)雜性高的治理難題。同時(shí)合作主義治理的定位是政府治理的有益補(bǔ)充，通過(guò)擴(kuò)充行政治理資源以適配聯(lián)系日趨緊密的公私關(guān)系網(wǎng)絡(luò)，進(jìn)而提高政府治理能力。

實(shí)踐中，行政治理視閾下的“合作主義”擁有廣泛的應(yīng)用范圍，其自身既是一種柔性的治理理念，也可外化為體現(xiàn)價(jià)值理念取向的硬性制度規(guī)范，故其有能力為網(wǎng)絡(luò)安全漏洞規(guī)制提供一種全新的轉(zhuǎn)型范式?；谇笆龇治?，缺少公眾參與的政府中心主義治理不可避免地存在治理失靈的現(xiàn)實(shí)困境，“合作主義”的引入既可為網(wǎng)絡(luò)安全漏洞規(guī)制提供價(jià)值指導(dǎo)，促使網(wǎng)絡(luò)社會(huì)主體積極融入治理參與方，還可具體搭建多方協(xié)作的網(wǎng)絡(luò)安全漏洞治理網(wǎng)絡(luò)，在充分考量各方利益需求的基礎(chǔ)上填補(bǔ)既有治理機(jī)制的空白，提供滿(mǎn)足公眾需求的治理公共產(chǎn)品，并在治理進(jìn)程中更好地處理網(wǎng)絡(luò)空間安全與網(wǎng)絡(luò)技術(shù)創(chuàng)新發(fā)展的平衡關(guān)系。

2.2 “合作主義”治理在網(wǎng)絡(luò)安全漏洞治理中的必要性

2.2.1 網(wǎng)絡(luò)社會(huì)權(quán)力扁平化

從社會(huì)權(quán)力視角而言，網(wǎng)絡(luò)社會(huì)權(quán)力的扁平化決定了政府權(quán)力必須實(shí)現(xiàn)從科層制向扁平化的轉(zhuǎn)變，此種信息力量直接影響政府的決策，改變著傳統(tǒng)政府自上而下的權(quán)力的運(yùn)行機(jī)制[5]。因此，單純由政府主導(dǎo)的垂直治理必然無(wú)法因應(yīng)扁平化的網(wǎng)絡(luò)社會(huì)轉(zhuǎn)型。

1.2 家庭農(nóng)場(chǎng)在現(xiàn)代農(nóng)業(yè)生產(chǎn)的優(yōu)勢(shì) 家庭農(nóng)場(chǎng)的內(nèi)在市場(chǎng)化運(yùn)作方式和家庭經(jīng)營(yíng)的穩(wěn)定性決定了在市場(chǎng)經(jīng)濟(jì)下有較高的競(jìng)爭(zhēng)力，在發(fā)達(dá)國(guó)家，以家庭農(nóng)場(chǎng)為經(jīng)營(yíng)方式的已存在近200年，今天依然為農(nóng)業(yè)的最重要經(jīng)營(yíng)方式。我國(guó)家庭農(nóng)場(chǎng)是在家庭承包經(jīng)營(yíng)基礎(chǔ)上發(fā)展起來(lái)的，它保留了家庭承包經(jīng)營(yíng)的穩(wěn)定性特點(diǎn)，同時(shí)又吸納了現(xiàn)代農(nóng)業(yè)市場(chǎng)化運(yùn)作方式，其優(yōu)勢(shì)有以下幾點(diǎn)。

毋庸置疑，隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，傳統(tǒng)的網(wǎng)絡(luò)權(quán)力格局被打破，以往居于金字塔頂端、主導(dǎo)網(wǎng)絡(luò)權(quán)力的政府力量被社會(huì)網(wǎng)絡(luò)權(quán)力逐漸分散。在當(dāng)前以“去中心化、去組織化”為主要特征的網(wǎng)絡(luò)權(quán)力格局中，網(wǎng)絡(luò)權(quán)力不斷被稀釋?zhuān)W(wǎng)絡(luò)空間中的社會(huì)主體顯然均可成為網(wǎng)絡(luò)權(quán)力的擁有者[6]，并依托私有權(quán)力威脅整體網(wǎng)絡(luò)空間安全，其中就包括掌握網(wǎng)絡(luò)安全漏洞等關(guān)鍵信息的網(wǎng)絡(luò)黑客。比如，去中心化區(qū)塊鏈技術(shù)運(yùn)行環(huán)境下的智能合約編程solidity安全漏洞、邏輯漏洞和代碼漏洞等，均可由普通的社會(huì)主體所掌握。網(wǎng)絡(luò)社會(huì)權(quán)力的扁平化發(fā)展趨勢(shì)決定了政府的治理架構(gòu)必須相應(yīng)作出調(diào)整，以妥善應(yīng)對(duì)分散于各私主體之間的網(wǎng)絡(luò)安全漏洞。此外，由于各網(wǎng)絡(luò)主體的安全需求不盡相同，故需同時(shí)依托各私主體間的相互協(xié)作，利用技術(shù)與政策兼顧各方利益，全面實(shí)現(xiàn)網(wǎng)絡(luò)安全漏洞的合作主義治理。

2.2.2 網(wǎng)絡(luò)安全相互依賴(lài)性脆弱

網(wǎng)絡(luò)安全的“相互依賴(lài)性脆弱”使傳統(tǒng)由政府主導(dǎo)的“命令控制型”治理顧此失彼，亟待合作主義規(guī)制對(duì)網(wǎng)絡(luò)安全漏洞進(jìn)行整體修補(bǔ)與完善。具體而言，其主要體現(xiàn)為如下兩個(gè)層面，一是網(wǎng)絡(luò)信息技術(shù)的蓬勃發(fā)展使網(wǎng)絡(luò)主體間的相互聯(lián)系相較以往愈加緊密。傳統(tǒng)被地域分割的社會(huì)個(gè)體如今可以通過(guò)網(wǎng)絡(luò)信息技術(shù)而被聚集至單一的網(wǎng)絡(luò)社區(qū)或社群之間，形成比以往社會(huì)個(gè)體聯(lián)系更為緊密的網(wǎng)絡(luò)關(guān)系。這種網(wǎng)絡(luò)主體間的相互依賴(lài)導(dǎo)致單個(gè)網(wǎng)絡(luò)主體存在網(wǎng)絡(luò)安全漏洞時(shí)，其所生風(fēng)險(xiǎn)可能依托各主體間的網(wǎng)絡(luò)關(guān)系迅速蔓延，從而導(dǎo)致與其相關(guān)的網(wǎng)絡(luò)主體亦被卷入網(wǎng)絡(luò)安全風(fēng)險(xiǎn)之中，形成網(wǎng)絡(luò)安全的“多米諾骨牌”效應(yīng)，直至危及系統(tǒng)整體安全。二是網(wǎng)絡(luò)信息的相互依賴(lài)性。一方面，對(duì)于網(wǎng)絡(luò)攻擊的守方而言，網(wǎng)絡(luò)安全依賴(lài)于與之相關(guān)的信息可信度與可獲取性。網(wǎng)絡(luò)安全漏洞的存在將使網(wǎng)絡(luò)信息的存儲(chǔ)與交流受到巨大威脅，尤其是涉及國(guó)家安全或各類(lèi)基礎(chǔ)設(shè)施的關(guān)鍵信息、敏感信息等。若此類(lèi)信息被網(wǎng)絡(luò)黑客篡改或盜取，其后果將十分慘重。另一方面，對(duì)于網(wǎng)絡(luò)攻擊的攻方而言，其攻擊能力與頻率依仗網(wǎng)絡(luò)信息的相互依賴(lài)性顯著提升，而網(wǎng)絡(luò)安全漏洞的出現(xiàn)則直接為其提供攻破系統(tǒng)安全屏障的內(nèi)部突破口。因此，只有構(gòu)筑各利益相關(guān)方相互協(xié)作、信息共享的機(jī)制，方可在脆弱的網(wǎng)絡(luò)安全體系下防范漏洞風(fēng)險(xiǎn)。

3 網(wǎng)絡(luò)安全漏洞“合作主義”治理的美國(guó)經(jīng)驗(yàn)

作為網(wǎng)絡(luò)安全規(guī)制的先行者，美國(guó)擁有全球最為完善的網(wǎng)絡(luò)安全漏洞治理體系。本文即以其為分析對(duì)象，探究社會(huì)主體與政府部門(mén)在該體系下的融合之道，為我國(guó)構(gòu)建“合作主義”框架提供借鑒藍(lán)本。

3.1 “合作主義”與網(wǎng)絡(luò)安全漏洞挖掘激勵(lì)

在漏洞挖掘階段，美國(guó)政府部門(mén)主要通過(guò)對(duì)私主體的獎(jiǎng)勵(lì)計(jì)劃以激勵(lì)其對(duì)網(wǎng)絡(luò)安全漏洞的挖掘。典型者如知名白帽子平臺(tái)Hackerone與美國(guó)國(guó)防部為測(cè)試后者防御網(wǎng)絡(luò)漏洞攻擊能力而聯(lián)合發(fā)起的“黑掉五角大樓”（Hack the Pentagon）漏洞眾測(cè)計(jì)劃。該項(xiàng)目由美國(guó)國(guó)防部數(shù)字化服務(wù)部主導(dǎo)，由網(wǎng)絡(luò)安全工程師和專(zhuān)家組成。在為期近一個(gè)月的活動(dòng)中，共有約250名漏洞研究人員提交了關(guān)于五角大樓的漏洞報(bào)告，其中138份報(bào)告鑒定合格并被發(fā)放賞金。在“黑掉五角大樓”計(jì)劃成功實(shí)施后，美國(guó)國(guó)防部又先后舉辦了“黑掉陸軍”（Hack the Army）和“黑掉空軍”（Hack the Air Force）等多個(gè)類(lèi)似懸賞計(jì)劃，旨在鼓勵(lì)民間網(wǎng)絡(luò)安全人員對(duì)網(wǎng)絡(luò)漏洞的挖掘和發(fā)現(xiàn)，為官方政府提供更為全面與安全的解決方案。據(jù)統(tǒng)計(jì)，從美國(guó)國(guó)防部展開(kāi)漏洞挖掘項(xiàng)目以來(lái)，受邀的安全專(zhuān)家已提交超過(guò)2.9萬(wàn)個(gè)漏洞報(bào)告，其中逾7成屬于有效漏洞。為此，2021年5月，美國(guó)國(guó)防部宣布將漏洞挖掘項(xiàng)目擴(kuò)大至所有可公開(kāi)訪問(wèn)的美國(guó)國(guó)防部信息系統(tǒng)，以拓寬網(wǎng)絡(luò)安全人員查找安全漏洞的覆蓋面[7]。

3.2 “合作主義”與網(wǎng)絡(luò)安全漏洞披露規(guī)制

針對(duì)網(wǎng)絡(luò)安全漏洞披露，美國(guó)主要以立法形式對(duì)其程序與界限作出具體規(guī)定，為社會(huì)主體構(gòu)筑可信的披露框架。其早在2012年《網(wǎng)絡(luò)安全法案》（Cybersecurity Act）中，即詳細(xì)規(guī)定了網(wǎng)絡(luò)安全威脅可予合法披露的情形。根據(jù)該法案第701條，若獲得第三方合法授權(quán)，私人主體可監(jiān)視其信息系統(tǒng)及其存儲(chǔ)、處理和傳輸?shù)男畔?，并可?duì)該信息采取相應(yīng)措施。第702條規(guī)定，允許私人主體向其他主體披露其依法獲取的網(wǎng)絡(luò)安全威脅信息，但要求信息披露與接收方遵守特定限制，主要包括保護(hù)信息記錄、流量或與之相關(guān)的人員信息；遵守披露實(shí)體對(duì)披露或使用網(wǎng)絡(luò)安全威脅指標(biāo)所設(shè)置的任何合法限制；不得獲取不公平競(jìng)爭(zhēng)優(yōu)勢(shì)；披露目的旨在保護(hù)信息系統(tǒng)及數(shù)據(jù)安全。此后，于2018年生效的《公私網(wǎng)絡(luò)安全合作法案》（Public-Private Cybersecurity Cooperation Act） 則要 求國(guó)土安全部為社會(huì)主體制定漏洞披露政策，包括披露程序、披露信息系統(tǒng)以及網(wǎng)絡(luò)安全漏洞的條件和標(biāo)準(zhǔn)等，以幫助其在國(guó)土安全部認(rèn)可的信息系統(tǒng)上報(bào)告安全漏洞。同時(shí)該法案還提出在制定安全漏洞披露政策時(shí)，政策制定者應(yīng)與司法部門(mén)、國(guó)防部門(mén)以及非官方安全研究人員進(jìn)行協(xié)商，促使網(wǎng)絡(luò)安全漏洞的披露政策得以符合各方利益。

3.3 “合作主義”與網(wǎng)絡(luò)安全漏洞信息共享

在司法層面，美國(guó)2015年通過(guò)的《網(wǎng)絡(luò)安全信息共享法案》（Cybersecurity Information Sharing Act，CISA）明確指出，對(duì)于非機(jī)密的“網(wǎng)絡(luò)威脅指標(biāo)”和“防御措施”信息，聯(lián)邦政府不僅可在政府機(jī)構(gòu)間共享，也可與企業(yè)組織和社會(huì)公眾分享；而對(duì)于機(jī)密的網(wǎng)絡(luò)安全信息，共享對(duì)象則僅限于具有安全資質(zhì)的主體。該法案重申了社會(huì)公眾分享網(wǎng)絡(luò)信息時(shí)需出于網(wǎng)絡(luò)安全目的，并確立了“合法披露”原則：社會(huì)公眾只要在符合CISA要求的前提下共享、接收網(wǎng)絡(luò)安全信息，其即可免于承擔(dān)法律責(zé)任。在行政層面，奧巴馬政府曾于同年簽署行政命令，下令建立專(zhuān)門(mén)的“信息共享和分析機(jī)構(gòu)”（ISAOs），以支持國(guó)土安全部的國(guó)家網(wǎng)絡(luò)安全和通信整合中心（NCCIC）成為私營(yíng)企業(yè)共享網(wǎng)絡(luò)威脅數(shù)據(jù)的樞紐。而新任美國(guó)總統(tǒng)拜登于今年5月12日則再次簽署相關(guān)行政命令，要求網(wǎng)絡(luò)服務(wù)提供商應(yīng)盡可能消除合同障礙，共享可能影響政府網(wǎng)絡(luò)安全的漏洞信息，以協(xié)助提高聯(lián)邦政府的網(wǎng)絡(luò)防御能力以及整體網(wǎng)絡(luò)安全。

4 我國(guó)網(wǎng)絡(luò)安全漏洞治理的“合作主義”框架

上述論述表明，“合作主義”范式在網(wǎng)絡(luò)安全漏洞治理中兼具必要性與可行性，故下文嘗試結(jié)合我國(guó)網(wǎng)絡(luò)安全規(guī)制現(xiàn)狀，構(gòu)筑防控網(wǎng)絡(luò)安全漏洞的“合作主義”框架。

4.1 行政與司法的合作：明晰“白帽子”的權(quán)責(zé)邊界

誠(chéng)然，僅有行政領(lǐng)域的制度供給難以為“白帽子”的法律責(zé)任廓清界限。實(shí)踐中還需依托司法能動(dòng)主義的“合作”，即考量多元社會(huì)價(jià)值，尋求建立恰當(dāng)而有效的最高司法指導(dǎo)機(jī)制[9]。具體而言，雖然我國(guó)刑法第285條規(guī)定已對(duì)非法侵入計(jì)算機(jī)信息系統(tǒng)罪作出明文規(guī)定，但在司法實(shí)踐中，仍應(yīng)充分考量“白帽子”在實(shí)施漏洞挖掘行為時(shí)的主觀狀態(tài)，將此作為定罪量刑的重要考量因素，而非徑直以危害后果作為司法裁判依據(jù)。同時(shí)，最高人民法院還可取材于司法實(shí)踐，制定司法解釋或發(fā)布典型司法案例以明確“白帽子”黑客挖掘、披露漏洞行為的法律責(zé)任邊界，以此作為對(duì)刑法第285條的有益補(bǔ)充。

4.2 行政與行政的合作：加強(qiáng)網(wǎng)絡(luò)安全漏洞協(xié)同機(jī)制

現(xiàn)階段，我國(guó)雖然已建立起由國(guó)家信息安全漏洞共享平臺(tái)（CNVD）為主導(dǎo)的網(wǎng)絡(luò)安全漏洞信息披露機(jī)制，但是在網(wǎng)絡(luò)安全漏洞披露后的協(xié)同處置上卻略顯空白。2015年簽訂的《中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)漏洞信息披露和處置自律公約》僅對(duì)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）與各社會(huì)主體之間的協(xié)同處置作出規(guī)定，未有其他制度規(guī)范或自律性規(guī)范構(gòu)筑各行政部門(mén)之間的協(xié)同處置框架。為填補(bǔ)此空白，不僅需建立網(wǎng)絡(luò)安全漏洞協(xié)同處置組織，由國(guó)家網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室領(lǐng)銜，并且需制定網(wǎng)絡(luò)安全漏洞協(xié)同處置規(guī)范，細(xì)化上述自律公約中要求CNCERT“積極建立與政府和重要信息系統(tǒng)部門(mén)、行業(yè)單位的處置聯(lián)系渠道”的內(nèi)容。此外，另需設(shè)計(jì)合理的協(xié)同處置網(wǎng)絡(luò)安全漏洞風(fēng)險(xiǎn)的責(zé)任制度。如針對(duì)硬件和軟件的漏洞，事先界定資產(chǎn)管理部門(mén)、業(yè)務(wù)管理部門(mén)以及信息安全部門(mén)之間的責(zé)任：資產(chǎn)管理應(yīng)與服務(wù)供應(yīng)商協(xié)調(diào)，修復(fù)漏洞并定期增補(bǔ)補(bǔ)??；業(yè)務(wù)管理部門(mén)則應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)內(nèi)部原因?qū)е赂呶Ｂ┒礋o(wú)法消除的情形制訂替代方案，廢除相關(guān)應(yīng)用系統(tǒng)；信息安全部門(mén)則應(yīng)對(duì)漏洞信息披露以及后續(xù)處置負(fù)責(zé)，防范利用網(wǎng)絡(luò)安全漏洞的攻擊。

4.3 行政與公眾的合作：推動(dòng)漏洞挖掘公眾參與

如上所述，調(diào)動(dòng)私主體挖掘漏洞的積極性是“合作主義”框架下公眾參與的重要環(huán)節(jié)，故行政部門(mén)可選擇增設(shè)網(wǎng)絡(luò)安全漏洞挖掘獎(jiǎng)勵(lì)以及漏洞評(píng)級(jí)參與途徑，加強(qiáng)與社會(huì)公眾的互動(dòng)。首先，行政部門(mén)需對(duì)《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見(jiàn)稿）》作出修訂，刪除其第六條第（一）款、第（三）款以及第七條第（三）款的規(guī)定，另增設(shè)一條明確概括性的“合法原則”，即在符合整體網(wǎng)絡(luò)安全漏洞管理規(guī)定要求，且為正當(dāng)合法目的而進(jìn)行網(wǎng)絡(luò)安全漏洞挖掘的社會(huì)主體，可免于承擔(dān)法律責(zé)任，以此增加法律法規(guī)的明確性并減少網(wǎng)絡(luò)安全漏洞挖掘者觸碰法律法規(guī)紅線的風(fēng)險(xiǎn)。其次，行政部門(mén)應(yīng)拓寬社會(huì)主體參與漏洞評(píng)級(jí)的途徑，暢通行政部門(mén)與企業(yè)主體所掌握的漏洞評(píng)級(jí)信息的共享渠道。

而通過(guò)對(duì)網(wǎng)絡(luò)安全信息的共享并對(duì)安全漏洞進(jìn)行評(píng)級(jí)，亦可幫助同一領(lǐng)域內(nèi)的其他主體發(fā)現(xiàn)更為隱秘的安全漏洞，提升漏洞處置的及時(shí)性。最后，行政部門(mén)可進(jìn)一步拓寬網(wǎng)絡(luò)安全漏洞挖掘獎(jiǎng)勵(lì)計(jì)劃的范圍。我國(guó)目前的漏洞獎(jiǎng)勵(lì)計(jì)劃主要由社會(huì)企業(yè)發(fā)起，例如阿里巴巴、百度、京東等科技巨頭，但少見(jiàn)由官方行政部門(mén)發(fā)布的漏洞挖掘獎(jiǎng)勵(lì)計(jì)劃。上述企業(yè)的激勵(lì)計(jì)劃自然系為其企業(yè)自身服務(wù)，故被挖掘出的網(wǎng)絡(luò)安全漏洞對(duì)國(guó)家整體網(wǎng)絡(luò)安全建設(shè)可能收效甚微。因此，我國(guó)行政管理部門(mén)后續(xù)可設(shè)置類(lèi)似“黑掉五角大樓”項(xiàng)目的網(wǎng)絡(luò)安全漏洞挖掘獎(jiǎng)勵(lì)活動(dòng)，在內(nèi)部網(wǎng)絡(luò)安全許可的前提下激勵(lì)社會(huì)主體進(jìn)行網(wǎng)絡(luò)安全漏洞挖掘競(jìng)賽，對(duì)優(yōu)先挖掘或處置漏洞的網(wǎng)絡(luò)安全人員進(jìn)行資金獎(jiǎng)勵(lì)，以調(diào)動(dòng)社會(huì)主體參與處置漏洞的熱情。

5 結(jié) 語(yǔ)

網(wǎng)絡(luò)安全漏洞治理日益成為各國(guó)網(wǎng)絡(luò)安全治理的中心議題。由于我國(guó)網(wǎng)絡(luò)安全漏洞治理存在“命令—控制”型的特征，故其不可避免地在漏洞評(píng)級(jí)指標(biāo)、漏洞披露政策以及“白帽子”法律責(zé)任上缺乏整體性考量。因網(wǎng)絡(luò)社會(huì)權(quán)力扁平化和網(wǎng)絡(luò)安全相互依賴(lài)性脆弱等特征的存在，網(wǎng)絡(luò)安全漏洞治理范式亟需向“合作主義”轉(zhuǎn)型?，F(xiàn)階段，我國(guó)首先需明晰“白帽子”法律責(zé)任的邊界，為社會(huì)公眾參與漏洞治理提供可預(yù)見(jiàn)的法律環(huán)境。其次，需構(gòu)筑漏洞協(xié)同機(jī)制，搭建行政部門(mén)之間的合作框架。最后，通過(guò)增設(shè)漏洞挖掘獎(jiǎng)勵(lì)計(jì)劃并拓寬社會(huì)公眾參與漏洞評(píng)級(jí)的渠道，加速該領(lǐng)域的“公私合作”進(jìn)程。2021年7月12日，工業(yè)和信息化部、國(guó)家網(wǎng)信辦與公安部聯(lián)合印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，對(duì)網(wǎng)絡(luò)安全漏洞協(xié)作管理、漏洞挖掘獎(jiǎng)勵(lì)以及“白帽子”行為規(guī)范等內(nèi)容作出回應(yīng)，初步勾勒出合作型網(wǎng)絡(luò)安全漏洞治理的規(guī)范框架。以此為基礎(chǔ)，我國(guó)網(wǎng)絡(luò)安全漏洞治理的配套措施與工作機(jī)制亦將陸續(xù)完善，為網(wǎng)絡(luò)安全漏洞產(chǎn)業(yè)的健康發(fā)展提供更為精細(xì)、全面的規(guī)范指導(dǎo)。